在Windows 2000中,对于通过HTTP协议访问,Internet 信息 服务提供了三种登录认证方式,它们分别是匿名方式、明文方式和询问/应答方式。用户采用那种方式取决于用户建立Internet信息 服务器的的目的。
如果用户建立站点的目的是为了做广告,那么可以选择匿名方式。因为访问者中的大多数是第一次访问用户的站点,用户不可能也没有必要为他们建立帐户。如果希望通过自己的Internet信息 服务器为访问者提供电子邮件寄存或信息交付等网络服务,则需要选用明文方式。因为在这种方式下,访问者必须使用用户名和密码进行访问,可有效的保护私人邮件或信息的安全性。如果用户的Internet信息服务器的访问者主要是企业内部的员工,并且希望服务器中的信息受到最安全的保护,可选择询问/应答方式。这种方式要求访问者在访问之前先进行访问请求,在得到许可后才可进行访问;这样,访问者对用户服务器的访问在用户直接控制下进行。不过这种方式要求访问者使用的浏览器必须是InternetExplorer浏览器,因为其他浏览器不支持这种认证方式。
由于在许多Internet信息 服务器上,对Web、FTP及SMTP虚拟 服务器的访问都是匿名的,本节就以匿名访问为例介绍如何进行安全认证设置。
1. 在如图所示的对话框中,单击“目录安全性”选项卡,如图8所示。
图8 “目录安全性”选项卡
2. 在“匿名访问和验证控制”选项区域中,单击“编辑”按钮,打开“验证方法”对话框,如图9所示。
图9 设置匿名访问和验证控制
3. 要选择匿名认证方式,启用“匿名访问”复选框,并单击“编辑”按钮,打开如图10所示的“匿名账号”对话框进行设置。
图10 设置匿名账号
4. 在安装Internet信息 服务时,系统将自动创建一个匿名账号: IUSR计算机名,如果计算机名为LY,则匿名账号为: IUSR_LY。使用“IUSR 计算机名”账号可以将Web客户登录到 服务器上。允许匿名服务时,管理员可更改用户匿名请求的的用户账号,并可更改此账号的密码。在“用户名”文本框中直接输入用户账号名,或者单击“浏览”按钮,打开如图11所示的“选择Windows用户账号”对话框选择一个要添加的用户账号。
图11 选择Windows用户账号
5. 在“匿名用户账号”对话框中,启用“允许IIS控制 密码”复选框,或者在“ 密码”文本框中输入用户账号 密码。
6.单击“确定”按钮完成匿名访问设置,同时返回到“验证方法”对话框,再单击“确定”按钮返回到“默认Web站点属性”对话框,然后单击“确定”按钮关闭对话框。
注释:如果用户的Web和FTP服务禁用匿名访问或访问受NTFS访问控制列表限制时,系统会自动使用明文方式进行认证,需要访问者的用户名和密码。这时,就需要选择登录验证访问方法,Internet信息服务可选的验证方法有基本验证、Windows域服务器的简要验证和Windows验证。一般选择Windows验证,因为基本验证时是一种明文密码验证,可能会造成未经过加密的密码在网络上传输,想危害用户的系统的非法访问者可用协议分析器在验证过程中检查用户密码;Windows域服务器的简要验证是一种简要的身份验证,使Internet信息 服务与Windows 2000域账号管理器一起工作进行验证,仅要求用户账号并将账号 密码保存为加密明文文本;不利于验证信息的安全性。要使用Windows验证,在“验证方法”对话框中的“验证访问”选项区域中,启用“继承Windows验证”复选框。
六、IP地址及域名限制
通过IP地址及域名限制,用户可禁止某些特定的计算机或者某些区域中的主机对自己的Web和FTP站点及SMTP虚拟服务器的访问。当有大量的攻击和破坏来自于某些地址或者某个子网时,使用这种限制机制是非常有用的。不过,进行IP地址及域名限制的首要条件是用户必须知道网络黑客的计算机使用哪些IP地址或属于哪些网络区域,否则无法进行限制。对基于Internet的信息服务器,站点接受来自于各个方的访问,用户很难进行地址限制。一般,只有基于企业内部网络的信息服务器才使用IP地址及域名进行安全保护。下面就以Web站点为例介绍IP地址及域名限制的设置过程。
1. 在如图8所示的图中,在“ IP地址及域名限制”文本框中单击“编辑”按钮,打开“ IP地址及域名限制”对话框,如图12所示。
图12 设置IP地址及域名限制
2. 如果选择“授权访问”单选按钮,除了“例外”列表框中的计算机外,其他所有的计算机都可访问该Web站点上的内容。如果选择“拒绝访问”单选按钮,除了“例外”列表框中的计算机外,其他所有的计算机都不能访问该Web站点上的内容。这里选择“授权访问”单选按钮并添加没有访问权限的 计算机。
3. 单击“添加”按钮,打开“授权以下访问”对话框,如图13所示。
图13 授权访问
